Seit Donnerstagmorgen Ortszeit wurden mehrere von Ubuntu und seiner Muttergesellschaft Canonical betriebene Server angegriffen und offline geschaltet. Die Unterbrechung dauerte bisher mehr als 24 Stunden und beeinträchtigte die normale Kommunikation der Mainstream-Linux-Distribution mit Benutzern erheblich, nachdem eine große Sicherheitslücke bekannt wurde.
In den letzten 24 Stunden waren die meisten Ubuntu- und Canonical-Websites nahezu nicht mehr zugänglich, und Benutzer konnten wiederholt keine Systemaktualisierungen von den offiziellen Servern erhalten. Update-Dienste von Mirror-Sites auf der ganzen Welt sind jedoch immer noch normal. Abgesehen davon, dass Canonical in einer Statusmitteilung erklärte, dass seine „Netzwerkinfrastruktur laufenden grenzüberschreitenden Angriffen ausgesetzt ist, an deren Bekämpfung wir arbeiten“, haben die Vertreter von Ubuntu und Canonical während des Ausfalls weitgehend geschwiegen.
Eine Hackergruppe, die behauptet, mit der iranischen Regierung zu sympathisieren, hat den Angriff in den sozialen Medien „reklamiert“ und erklärt, sie habe über eine Plattform namens Beam einen Distributed-Denial-of-Service-Angriff (DDoS) gestartet. Beam gibt an, ein „Stresstest“-Dienst zu sein, der dazu dient, die Fähigkeit des Servers zu testen, dem Druck unter hoher Last standzuhalten, aber wie andere sogenannte „Stressoren“ oder „Booster“ handelt es sich im Grunde genommen um ein kostenpflichtiges Tool für Kriminelle, um Websites Dritter lahmzulegen. In den letzten Tagen behauptete diese pro-iranische Gruppe auch, ähnliche DDoS-Angriffe auf die E-Commerce-Plattform eBay gestartet zu haben.
Laut einem Moderator der Q&A-Community AskUbuntu.com gehören zu den Domains und Diensten, auf die derzeit nicht zugegriffen werden kann oder die stark betroffen sind, folgende: security.ubuntu.com, jaas.ai, archive.ubuntu.com, canonical.com, maas.io, blog.ubuntu.com, Developer.ubuntu.com, Ubuntu Security API (deckt CVE und Sicherheitshinweise ab), academy.canonical.com, ubuntu.com, portal.canonical.com und asset.ubuntu.com. Zu diesen Diensten gehören Ubuntus Sicherheitsupdates, Paket-Repositories und Bildindizes sowie die zahlreichen Geschäftsbereiche von Canonical für Entwickler, Unternehmenskunden und Lernplattformen.
Dieser groß angelegte Infrastrukturausfall fiel mit der Offenlegung eines Exploit-Codes mit leistungsstarken Angriffsmöglichkeiten durch Sicherheitsforscher zusammen, der es nicht vertrauenswürdigen normalen Benutzern ermöglichen kann, die Root-Kontrolle mit den höchsten Berechtigungen auf fast allen gängigen Linux-Distributionsservern (einschließlich Ubuntu) in mandantenfähigen Umgebungen wie Rechenzentren und Universitätsnetzwerken zu erhalten. Diese zeitliche Überschneidung hat dazu geführt, dass Ubuntu bei der Veröffentlichung von Sicherheitsrichtlinien, Risikominderungsplänen und Patch-Anweisungen für betroffene Benutzer erheblich eingeschränkt ist. Die Verbreitung relevanter Sicherheitsinformationen ist in hohem Maße auf Spiegelseiten und Community-Kanäle Dritter angewiesen. Dennoch sind Aktualisierungspakete, die derzeit über Spiegelquellen an verschiedenen Orten verteilt werden, immer noch verfügbar und bieten Benutzern einen alternativen Weg, um kurzfristig kritische Korrekturen zu erhalten.
Sogenannte Druckmaschinen oder „Zombie Traffic Rental“-Plattformen gibt es schon seit Jahrzehnten und das kommerzielle Betriebsmodell DDoS-as-a-Service steht längst auf der Abschussliste von Strafverfolgungsbehörden in verschiedenen Ländern. Obwohl Polizisten aus vielen Ländern mehrfach gemeinsame Strafverfolgungsmaßnahmen ergriffen haben, um Websites zu beschlagnahmen und Betreiber zu verhaften, wurde diese Untergrundindustrie, die auf die Anmietung von Botnetzen und Angriffen auf den Datenverkehr setzt, nie ausgerottet, und neue Plattformen und Marken tauchen immer wieder in neuen Hüllen auf. Dieser Angriff auf Ubuntu und Canonical zeigt, dass erfahrene kommerzielle Sicherheitsteams und Infrastrukturbetreiber immer noch in kurzer Zeit von solchen Angriffen mit hohem Datenverkehr überrascht werden können.
Es ist unklar, warum es so lange dauerte, bis die Infrastruktur von Ubuntu und Canonical für die Außenwelt vollständig zugänglich war. Die Branche geht allgemein davon aus, dass es eine große Anzahl ausgereifter DDoS-Schutzdienste auf dem Markt gibt, von denen mindestens einer grundlegende Schutzfunktionen kostenlos bietet. Daher hat diese lange Unterbrechung viele Fragen zur Bereitschaft von Canonical in Bezug auf Notfallpläne, Verkehrsbereinigung und architektonische Redundanz aufgeworfen. Allerdings hat Canonical zum Zeitpunkt der Drucklegung keine weiteren Einzelheiten des Angriffs, seine Schutzstrategien und einen Zeitplan für die vollständige Wiederherstellung der Dienste bekannt gegeben.
Auch wenn die Nachwirkungen dieses Vorfalls noch nicht abgeklungen sind, verdaut die Sicherheitsgemeinschaft noch immer die Auswirkungen einer „der schwerwiegendsten Linux-Bedrohung seit Jahren“, und die Ubuntu-Infrastrukturkrise hat Alarm geschlagen, wie widerstandsfähig das gesamte Open-Source-Ökosystem gegenüber Hochdruckangriffen und Notfallmaßnahmen der Sicherheit bleibt.